قسمت بعدی ماژول پنج، یعنی Maintaining Access، دارای قسمت های زیر است:
الف- Executing Applications:
نرم افزارهایی وجود دارند که هدفشان جاسوسی کردن و سرقت اطلاعات از سیستم کاربران است. به اینگونه نرم افزارها Spyware گفته می شود. Spyware ها به شکل های مختلفی ظاهر می شوند. یکسری ممکن است از Desktop کاربران، Screen shot بگیرند و ارسال کنند، key logger باشند، یکسری ها Audio هستند و صدای محیط را ضبط و ارسال می کنند، یکسری ها webcam هستند و تصاویر قربانی را ارسال می کنند، یکسری نیز پورت های USB را مانیتور می کنند و چنانچه فایلی در Device های USB، کپی شد یا از آنها برداشته شد، آن فایل ها را ارسال می کنند.
یکسری از Key logger ها، علاوه بر Keyboard، کلیک های ماوس را نیز ارسال می کنند.
Key logger ها بر دو دسته هستند:
الف- سخت افزاری
ب- نرم افزاری
Key Logger های سخت افزاری، نیازی به سیستم عامل ندارند و به پورت USB متصل می شوند.
نرم افزار Ardamax یک Key Logger معروف است. این نرم افزار را بر روی سیستم خودمان نصب می کنیم و از طریق آن یک فایل Agent ایجاد می کنیم.
این فایل Agent، با تکنیک های مختلف بر روی سیستم قربانی ارسال می شود و هنگامی که اجرا می شود، اطلاعات مورد نظر و تنظیم شده از قبل را از روی سیستم قربانی، برای ما ارسال می نماید.
البته بسیاری از آنتی ویروس ها، این Agent را کشف کرده و از بین می برند. تکنیک هایی وجود دارد که یک نرم افزار را برای آنتی ویروس Undetected Able نماید با استفاده از این تکنیک ها و سپس Bind نمودن آن به یک نرم افزار معمولی مانند Telegram.exe و ارسال آن به قربانی، با اجرای نرم افزار معمولی، Agent نیز نصب و اجرا می گردد.
نکته: برای جلوگیری از آلودگی سیستم ها توسط Spyware، علاوه بر آنتی ویروس، باید نرم افزارهای Anti Malware نیز نصب شود.
Malwarebytes یک Anti-Malware خوب و free است.
نکته: سایت گیت هاب به آدرس (github.com) یک شبکه اجتماعی برای برنامه نویسان و توسعه دهندگان نرم افزارهای کد باز است (مشابه سایت Codeplex شرکت مایکروسافت) که در آن می توان Exploit های خوبی را پیدا کرد.
ب- Hiding Files:
تکنیک ها و فنون مخفی سازی اطلاعات را Steganography نامیده می شود و فقط هم مختص دنیای کامپیوتر نیست. تکنیک هایی وجود دارد که از طریق آنها می توان اطلاعات و فایل هایی را داخل فایل های دیگر که ساختار متفاوتی دارند، مخفی نمود. به طور مثال یک فایل ویدئو را در یک فایل MP3 مخفی کرد.
بن لادن از همین تکنیک برای ارسال ویدئو های خود به شبکه الجزیره استفاده می کرد.
LBS (List Significant Bit):
در ساختار ساختار یک بایت، آن بیت که ارزش کمتری از همه بیت ها ی دیگر دارد، LBS نامیده می شود.
اطلاعاتی را که می خواهیم مخفی کنیم، در بیتی قرار می دهیم که کمترین ارزش را دارد. تغییر این بیت، ساختار فایل را تغییر نمی دهد و اجازه می دهد فیل را در آن فایل ذخیره کنیم.
به طور مثال اگر یک فایل تصویری با پسوند .bmp داشته باشیم، با توجه به اینکه ساختار این فایل ها، بیست و چهار بیتی است یعنی در هر پیکسل تصویر بیست چهار بیت یا سه بایت داریم. بنابراین در هر پیکسل، سه LSB خواهیم داشت. همانگونه که ذکر شد، با تغییر این بیت ها، تغییر محسوسی که قابل تشخیص با چشم باشد، به وجود نخواهد آمد.
مطابق آنچه که ذکر شد، هر پیکسل با دارا بودن سه LSB، دارای ۲۳ بیت، فضای ذخیره سازی خواهد بود. یعنی اگر یک فایل .bmp دارای ۱۰۰۰*۱۰۰۰ پیکسل باشد، آنگاه:
۱۰۰۰*۱۰۰۰*۲۳= ۸ Mbit
فضای ذخیره سازی در این فایل وجود دارد.
ابزاری بنام S-tools وجود دارد که با استفاده از آن می توان یک فایل را در یک فایل عکس ذخیره نمود.
همچنین ابزار MP3Stego برای پنهان سازی فایل در یک فایل MP3 استفاده می گردد.
در S-Tools، ابتدا عکس را Drag & Drop می نماییم. سپس فایل مورد نظر را که می خواهیم مخفی کنیم، Drag & Drop می کنیم. سپس بر روی آن کلیک راست نموده و گزینه Save as را انتخاب می کنیم.
برای بازیابی یک فایل، مجددا” آن را در نرم افزار، Drag & Drop می کنیم، بر روی آن کلیک راست نموده و گزینه Reveal را انتخاب می کنیم.
NTFS Stream قابلیتی است که توسط سیستم عامل ویندوز ارائه می شود و با استفاده از این قابلیت می توان Stream های متفاوتی توسط سیستم عامل تعریف می شود و روی این Stream ها می توان فایل ذخیره نمود.
مثال:
در CMD با استفاده از دستور زیر یک فایل Notepad ایجاد می کنیم و محتوای مورد نظر را در آن می نویسیم و ذخیره می کنیم:
Notepad ab.txt:a.txt
اکنون در CMD با استفاده از همان دستور، در فایل محتوای دیگری می نویسیم و ذخیره می کنیم:
Notepad ab.txt:b.txt
اکنون در فایل ab.txt، محتویات دیگری وارد نموده و save می کنیم. حال اگر این فایل را مستقیما” باز کنیم، محتویات Save شده را ملاحظه می کنیم و اگر با هرکدام از دستورهای فوق باز کنیم، محتویات Save شده توسط هر دستور را مشاهده خواهیم کرد.
نکته: این فایل حتما” باید بر روی پارتیشن NTFS باشد و در صورت انتقال به غیر از پارتیشن NTFS، مثلا” انتقال توسط Cool Disk، که فایل سیستم آن FAT باشد، محتویات فایل که توسط دو دستور فوق ایجاد شده بود، از بین می رود.
Clearing Tracks یا Covering Tracks (مخفی کردن یا پاک کردن رد پا):
برای هک یک سرور از مبدائی که در آن قرار داریم، تا به سرور برسیم، باید از یکسری Device های مختلف عبور کنیم که این Device ها خود تحت مانیتورینگ هستند. بنابراین نه تنها باید Log های مربوط به Hack، از سرور مقصد پاک شود، بلکه باید از VPN نیز باید استفاده شود تا رد پایی در Device های میانی نیز باقی نماند.
از انواع ارتباطات VPN می توان از موارد زیر نام برد:
PPTP که بر پایه پروتکل MPPE (Microsoft Point-to-point Encryption) می توان آن را Encrypt نمود.
L2TP که بر پایه پروتکل IPsec می توان آن را Encrypt نمود.
SSTP که بر پایه SSL، Encrypt می گردد
روش دیگر برای بر جا نگذاشتن رد پا در Device های میانی، استفاده از Proxy است.
انواع Proxy:
۱- Web Proxy
۲- Socks
Socks ایجاد Tunnel می نماید. در استفاده از Proxy، منظور استفاده از گزینه دوم، یعنی Socks است.
نکته: در Freegate، حالت F Tunnel، همان حالت Socks است.
نکته: قبل از استفاده از Socks و بعد از استفاده از آن، با تایپ My IP در گوگل، چک می کنیم که تغییر IP Address اتفاق افتاده باشد.
مسیر یک Attack حرفه ای:
|
|
بطور کلی برای انجام یک Attack، ابتدا باید حداقل یک VPS، خریداری کنیم، آسیب پذیری های آن را برطرف کنیم، اجازه هیچگونه Log بر روی آن را ندهیم و حمله را از آنجا انجام دهیم.
نکته: اگر بخواهیم VPN خریداری کنیم، بهتر است سرور آن در اروپای شرقی باشد.
